Адуапсеч арргоасне$ _ 
ш Субег5есигИу— 


\Мас1ау Ооупаг и 


мипоап! 


\Уа{<ау Эоупаг 
арр$ес, тта$ес, 4еуЗесОр$ 
ргоМет_$о\тад 
9 


Неаа о{ Ргодис{ Зесигиу 
40 
Гоокта Гог соо| {Феаттае$ 


{еевгат.рпя 


Твапк$ фо 


Иван Васильев Жания Рахметова 


НЫ) НЕНГоа4"" 


Введение - 


Организации проектируют 
системы, которые копируют 


структуру коммуникаций 
в этой организации 


Мелвин Конвей 


НЕ) НЕНГоа4"" 
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Введение 


Важные выводы: 


( 


Команды закрепляют свои 
зоны ответственности 
на уровне АР|!-интерфейсов 


(но) ННЕоаа"" 


Введение 


Важные выводы: 


( 


Команды закрепляют свои 
зоны ответственности 
на уровне АР|!-интерфейсов 


93 


[2] 


Решение задач требует 
кросскомандной коммуникации и 
ресурсов на нее 


(но) ННЕоаа"" 


Введение 7 


Кто отвечает за безопасность продукта? 


(но) НЕНЕоаа"* 


Введение 8 


Кто отвечает за безопасность продукта? 


ИБ 


(но) НЕНЕоаа"° 


Введение о 


Кто отвечает за безопасность продукта? 


ИБ не является владельцем актива 


(но) НЕНЕоаа"* 


Введение 


Кто отвечает за безопасность продукта? 


ИБ не является владельцем актива 


Команда 
продукта 


(но) НЕНЕоаа"* 


Введение 1 


Кто отвечает за безопасность продукта? 


ИБ не является владельцем актива 


Команда 


продукта не разбирается в ИБ 


(но) НЕНЕоаа"* 


Введение 12 


Кто отвечает за безопасность продукта? 


ИБ не является владельцем актива 


Команда 


продукта не разбирается в ИБ 


Руководство 


(но) НЕНЕоаа"* 


Введение 


Кто отвечает за безопасность продукта? 


ИБ 


не является владельцем актива 


продукта 


Команда не разбирается в ИБ 


Руководство ответственность заключается в 


предотвращение риска 


(но) НЕНЕоаа"" 


Введение 


Кто отвечает за безопасность продукта? 


ИБ 


платформа, консалтинг, метрики, экспертиза 


продукта 


Руководство на основе понятных данных принимает 
решение о принятии рисков. Контролирует 


общую картину 


Команда ответственность за безопасность продукта 


14 


(но) НЕНЕоаа"" 


Введение 


Кто отвечает за безопасность продукта? 


принятие решение по риску / изменение приоритетов 


ИБ платформа, консалтинг, метрики, экспертиза 


| | | 


Команда ответственность за безопасность продукта 
продукта 


Руководство 


(но) НЕНЕоаа"* 


Субег Угаеду 


(но) НЕНЕоаа"* 


Субег Угаеду 


создание 
иницатив 


у 


Изменение 
приоритетов 


> 


развитие 
инициатив 


Изменение 
приоритетов 4) 


и 


(но) НЕНЕоаа"* 


Субег Угаеду 


создание 
иницатив 


р 


Изменение 
приоритетов 


1 год 


развитие 
инициатив 


Изменение 
приоритетов 4) 


18 


(но) НЕНЕоаа"* 


Субег Угаеду 


развитие 
инициатив 


создание 
иницатив 1) 


Изменение Изменение 


приоритетов 
приоритетов 2) риор 4) 


1 месяц 1 месяц 


|“ 


(но) НЕНЕоаа“" 


Сурег Угаеду 2 


Как ИБ помогает бизнесу? 


® Консалтинг по наведению порядка ® Увеличение стабильности 
ти, ОМ писок активов, ехрг 
в 5, список а ов, ехриед ® Экосистема инструментов 


безопасности в пайплайне сборки 

® Мотивация к избавлению от [едасу 

(старые сети, сервера, версии АР1, 
код) 


® Помощь в росте сотрудников 


(но) ННЕоаа"" 


Сурег Угаеду 21 


Как ИБ помогает бизнесу? 


® Консалтинг по наведению порядка ® Увеличение стабильности 
ти, ОМ писок активов, ехрг 
в 5, список а ов, ехриед ® Экосистема инструментов 


безопасности в пайплайне сборки 

® Мотивация к избавлению от [едасу 
(старые сети, сервера, версии АР1, 
КОД) ® Ваш пункт 


® Помощь в росте сотрудников 


(но) ННЕоаа"" 


Субег Угаеду 22 
Как ИБ помогает бизнесу? 


Помощь 


Улучшение коммуникации 
Долгосрочное 
улучшение безопасности 


фе 


ЗесигКу еггог Биаде{ 


(но) НЕНЕоаа"* 


ЗесигКу еггог Биаде{ 24 


Флоу исправления уязвимостей 


автоматизации 


Поиск и 
иксация в КА консультации верификация написани 
воспроизведение ПИ. ультац рификац е регресса 


Ое\ исправление 


(но) НЕНГоаа"" 


ЗесигКу еггог Биаде{ 25 


Флоу исправления уязвимостей 


автоматизации 


Поиск и 
фиксация в ЛКА консультации верификация написание регресса 
воспроизведение 


Ое\ исправление 


(но) НЕНЕоаа"" 


ЗесигКу еггог Биаде{ 


Предпосылки 


® Процесс исправления 
уязвимостей превращается 
в хаос 


26 


(но) НЕНЕоаа"* 


ЗесигКу еггог Биаде{ 


Предпосылки 


® Процесс исправления 
уязвимостей превращается 
в хаос 


® Нехватка времени в командах 


27 


(но) НЕНЕоаа"* 


ЗесигКу еггог Биаде{ 28 


Предпосылки 


® Процесс исправления 
уязвимостей превращается 
в хаос 


® Нехватка времени в командах 


® Ресурсы тратятся на обсуждение, 
а не решение задач 


(но) НЕНЕоаа"" 


ЗесигКу еггог Биаде{ 25 


и [2] [3] [4] 


(но) НЕНЕоаа"" 


ЗесигКу еггог Биаде{ 30 


и [2] [3] [4] 


Политика 
исправления 


СиЕ — 4 Почг йх 

Ноп — 2 дауз Ях 
Медит — 2 меек$ Ях 
| ом/ — ваК а уеаг йх 


(но) НЕНЕоаа"* 


ЗесигИу еггог Бидде{ 


и] 


Политика 
исправления 


СиЕ — 4 Почг Ях 

Ноп — 2 дауз Ях 
Медит — 2 меек$ Ях 
| ом/ — ваК а уеаг йх 


[2] 


Таблица 
стоимости 


Сти — 1000$ 
Ню — 500$ 
Медит — 200$ 
[ом/ — 50$ 


[3] 


31 


(но) НЕНЕоаа"* 


ЗесигИу еггог Бидде{ 


и [2] [3] 


Политика Таблица Автоматизация 
исправления СТОИМОСТИ 

Сти — 4 Воуг Йх Ст — 1000$ Установка дие дае 
Нор — 2 дауз$ #х НП — 500$ Подсчет еггог Биаде{ 
Мечит — 2 меекз$ йх Мечит — 200$ 

Г о\м/ — рака уеаг Ях [ом/ — 50$ 


ки 


(но) НЕНЕоаа"" 


ЗесигИу еггог Бидде{ 


и [2] [3] 


Политика Таблица Автоматизация 
исправления СТОИМОСТИ 

Сти — 4 Воуг Йх Ст — 1000$ Установка дие дае 
Нор — 2 дауз #х НП — 500$ Подсчет еггог Биаде{ 
Мечит — 2 меекз$ йх Мечит — 200$ 

Г о\м/ — раКа уеаг Ях [ом/ — 50$ 


33 


[4] 


Контроль 
метрики 


10 000$ / уеаг 


(но) НЕНГоаа"* 


ЗесигКу еггог Биаде{ за 


и [2] [3] [4] 


Политика Таблица Автоматизация Контроль 
исправления стоимости метрики 

Ст — 4 Поуг йх Ст — 1000$ Установка дие дае 

Нор — 2 дауз #х НП — 500$ Подсчет еггог Биаде{ 

Медит — 2 меек$ #х Медит — 200$ 10 000$ / уеаг 

Г о\м/ — раКа уеаг Ях [ом/ — 50$ 

Дополнительно: НЕ НеНоаа* 
автоматизация, автоматизация, визуализация и автоматизация 2022 


ЗесигКу еггог Биаде{ 35 


Вазе4Уитега ИКуРисе = СНасаЩуРисе * ТЬгеа{А$5еззтепСоейает 


(но) ННЕоаа"" 


ЗесигКу еггог Биаде{ 36 


Вазе4Уитега ИкКуРисе = СНасаЩуРисе * ТЬгеа{А$5еззтепСоейает 


ВазеУитега Ку 


Ета|Уипега  ПКуРисе = ВазеУитега 6 ИкуРисе ки РисеТагре хРемоЯ 


*х Пау$Оуегаие 


(но) НЕНЕоаа"" 


ЗесигКу еггог Биаде{ 37 


Вазе4Уитега ИкКуРисе = СНасаЩуРисе * ТЬгеа{А$5еззтепСоейает 


ан 


ВазеУитега Ку 


Ета!Уипега КуРисе = ВазеУитега ИкуРисе + РисеТагре Рено 


*х Пау$Оуегаие 


Виа5ет = >, ЕтаУишегаб ШуРисе; 


Е 


(но) НЕНЕоаа"" 


ЗесигИу еггог Бидде{ 38 


Статус ОКВ Команда Приоретет... Теат Туре Взятый ОКК / Комментарий 


ОКВ принят <Ведас{еа> трокаг( Ргодис{ КК 1 Расход еггог-Биаде{ не выше 1000$ 


(но) НЕНЕоаа"" 


ЗесигИу еггог Бидде{ 3 


[^^ АщотаНоп Тог Лга фиу 28, 2022 а{ 4:43 РМ 


Оче Ва{е 1$ зе ащотайсайЙу Базед оп Рпогку апа МУитегаб!Ку 
Кете!айоп Ройсу то 2022-09-261Т13:43:07.8+0000 


ЕЧК . О="ще © 


фм 


ЗесигИу еггог Бидде{ 


Еггог Биаде{ сопзитр{оп Бу {еат 


Аз $1пед Теат 


Теат #4 


Теат #2 


Теат #1 


Теат #10 


Теат #6 


Злом тоге.... 


Сопзиреа Биаде{ 


1202420 


423150 


125400 


119519 


57418 


140790 


2068697 


% 


58.1% 


20.5% 


6.1% 


5.8% 


2.8% 


6.8% 


100% 


40 


фе 


ЗесигИу еггог Бидде{ 


Референс 


® Соозе $ВЕ Еггог ВидтЕ{ 
5, СИЕар Еггог Видвей 


41 


(но) НЕНЕоаа"* 


ЗесигКу еггог Биаде{ 42 


Флоу исправления уязвимостей 


автоматизации 


Поиск и 
иксация в КА консультации верификация написани 
воспроизведение ПИ. ультац рификац е регресса 


Ое\ исправление 


(но) НЕНГоаа"" 


Зесиг(у-амбассадоры 


(но) ННЕоаа"" 


ЗесигКу-амбассадоры й 


ЗесигКМу СПатрюп$ 


(но) ННЕоаа"" 


ЗесигКу-амбассадоры 48 
ЗесигКу СПатрюп$ 


® Не работает для всех команд 


(но) ННЕоаа"" 


ЗесигКу-амбассадоры 46 


ипро$$Ые " = 
ЗесигКу СПатрюп$ 
„а 
й д? се е Не работает для всех команд 
< г. хо У 
Км 8 $ ® Чем больше требуется изменений, 
$ 39 био тем сложнее найти 
© $ со <\^ 
% < 
«® [®) 
< .® 
%* 5 
хх < 
хх 
м 


(но) НЕНЕоаа"" 


ЗесигКу-амбассадоры 47 


Что дает? Связь с Конвеем 
® Решение сложных проблем Способ упрощения коммуникации 
у сложных команд со сложными командами 


® Сокращение расстояния 
до безопасности 


® Уменьшение новых однотипных 
уязвимостей в команде 


(но) ННЕоаа"" 


48 


ТИгеаЕ Аззеззтеие 


(но) НЕНЕоаа"" 


Тргеа* Аззеззтеи 49 


Столбцы имеют краткое наименование. Развернутый текст каждого вопроса и ответы 
можно найти ниже 


> д № Описание методов 


[зд ЕВ Кеаау Фи! 1 тоге... [оскеа ЕШМег $0“ Ц "^, --. 


Зучет 11$1 
Мате СиНчЬ Тота! Е1зК Аззеззтет зуче 
5? ехатр!е зегусе ВИрз://акПиЬ.сот/паКикКе/пом/-{Фю-е 60 ) 


(но) НЕНЕоаа"* 


Тргеа* Аззеззтеи 


Таблица ТИгеа{ Аззе$$ ит 
инвентаризация 


> Опросник для инвентаризации создаваемых и текущих с 


> Вводная информация по таблице 
> Как внести информацию 


Столбцы имеют краткое наименование. Развернутый текст ка> 
можно найти ниже 


у д № Описание методов 
1. Ассез$ те{поа - Тип доступа пользователей 
а. Доступно только с определенных хостов внутри 
Ь. Доступно сотрудникам только за УРМ 
с. Доступно субподрядчикам 
Ч. Доступно из Интернет 
2. Митьег о} изег$ - Количество пользователей 


а. Сервисом пользуется мало людей, число пользо 
планируют развивать 


Ь. Сервисом пользуются сотрудники компании 
с. Сервисом пользуется до 70% клиентов/водителе 


4. Сервисом пользуется более 70% клиентов\водит 


БезсирИоп 


СИНУЬ 


З'а4и$ 


Зу$ет тападег 


ОВЕ 


Теат 


Боситегцайоп 1... 


Ассез$ те{По4 


Митьег оЁ изег$ 


Веуепие |тпрас{ 


Зегусе-ой 1 дау 


О5ег ас{оп$ 


|гп{егпа! и{едгайоп 


Ежегпа! г{едга{... 


Ом/пег$ ГТеаг$ 


Оа{а {уре$ 


Рпапса! 109{с 


3х ехатр!е $еглсе 


Сервис-кофеварка, заваривает кофе 
ВЕрз://айпиЬб.сот/паКке/пом/-ю-ехй-уйт 


АсНуе 


В рз://9ИВиБ.сот/паКмкКе/пом/-{о-ехй-уйт 


Му Теат 


АуайаЫе {тот {Пе |гцегпе! [9] х 


Зеес{ ап орНоп 


АуаЙаЫе оту тот сецат по${$ миНт {пе птазгисиге [0] 

Оту ауайаЫе \а УРМ [4] 

АуаЙаЫе {о зибсогигаског$ [7] 

АуаНаЫе {тот {Ве \егпе! [9] 
Тве и\едга{оп аНо\м/$ геа ассез$ {0 зепз ме да{а о 
Тве и\едга{оп аНо\муз геа ассез$ {0 зеп$И№е Ча{а о! о{пег зуз{ет$ {! 
Аррйсайоп да{а Бгеасв [5] З 


№ п-зепзм№е даа [5] 


№ [0] 


50 


Тргеа* Аззеззтеи 


О 


Направляем 
анкеты лидам 


[3] 


Проводим интервью 
со всеми, кто 
не выслал в срок 


[2] 


Выделяем ТА, заполненные 
без безопасника 


[4] 


Делаем переоценку 
не реже, чем раз в год 


5 


(но) НЕНГоаа"* 


ТИгеаЕ Аззеззтеие 


Что дает? Связь с Конвеем 
® Возможность считать метрики Позволяет команде 
(МКТ, ОК\М/, Етгог Вид дей осознать ответственность 


® Приоритеты на основе данных 


® Выполнение требований 
|15О 27001 


Ве 


(но) НЕНЕоаа"" 


53 


ЗесигКу АгсИКесиге 


(но) НЕНЕоаа"" 


Зесигику АгсИКесиге 54 


717 
|&) Е 
| и 7. 
|] м з Дата релиза 
[и в Команда 


Этап разработки 


Тргеа{ Аз5е$$т 


8, Таблица требований по безопас! и 


При описании нового сервиса, надо внизу таблицы нажать + Мем, Автор 
вписать название сервиса, этап разработки, ответственную 

команду и дату релиза (фактическую или плановую). Далее при 

наведении мышки на пункт нажать кнопку => ОРЕМ . Внутри 


страницы надо выбрать [ТЕМРЬАТЕ] {зегу1сепате} и читать шапку 


"Ном-{о". о 


ЕВ ТаЫе РИег $0“ Ц 


Этап разработки Команд; > Как пользоваться (Ном/-) 


> Критерии, когда 100% надо обсуждать реализацию с <5есигй) 


Название сервиса 


№ Му ргецу зегисе 


Общее требования ко всем новым сервисам 
Хранение кода и работа с репозиторием 
Сериализация \ ХМЕ 
Авторизация 
Взаимодействие по НИр 
Требования к НТТР-запросам 
Требования к сессиям 


Логирование 


++ 
Отметь если есть аутентификация нЕ НЕИГоаа ыы 
2022 


Зесигику АгсИКесиге 55 


м7 


® Ге) № Мургену зегмсе 


|2) й Дата релиза 
ый ыы ата релиза 


Этап разработки 


«$ «К к 


Тргеа{ Аззеззт 


8, Таблица требований по безопас! р 


При описании нового сервиса, надо внизу таблицы нажать + Мем , Автор 


вписать название сервиса, этап разработки, ответственную 
команду и дату релиза (фактическую или плановую). Далее при 
наведении мышки на пункт нажать кнопку => ОРЕМ .Внутри 
страницы надо выбрать [ТЕМРЬАТЕ] {зегу1сепате} и читать шапку 


"Ном-{о". о 
ЕВ Таые Рег Зо“ © --- 


Название сервиса Этап разработки команду > Как пользоваться (Ном/-0) 


№ Му ргецу зегисе > Критерии, когда 100% надо обсуждать реализацию с <5есий\ 


Общее требования ко всем новым сервисам 
Хранение кода и работа с репозиторием 
Сериализация \ ХМЕ 
Авторизация 
Взаимодействие по ИИр 
Требования к НТТР-запросам 
Требования к сессиям 


Логирование 


Отметь если есть аутентификация 


Зесигику АгсИКесиге 56 


д 1 
|ё) — 
| м р 
|] м з —) Дата релиза 
[в в Команда 


Этап разработки 


Тргеа{ Аз5е$$т 


8, Таблица требований по безопас! и 


При описании нового сервиса, надо внизу таблицы нажать + Меи, 
вписать название сервиса, этап разработки, ответственную 
команду и дату релиза (фактическую или плановую). Далее при 
наведении мышки на пункт нажать кнопку => ОРЕМ .Внутри 
страницы надо выбрать [ТЕМРЬАТЕ] {зегу1сепате} и читать шапку 


"Ном-{о". о 


> Автор 


ЕВ ТаЫе РИег 50“ @Ц 


Этап разработки Команд: > Как пользоваться (Ном/-) 


> Критерии, когда 100% надо обсуждать реализацию с <5есий) 


Название сервиса 


№ Му ргецу зегисе 


Общее требования ко всем новым сервисам 
Хранение кода и работа с репозиторием 
Сериализация \ ХМЕ 
Авторизация 
Взаимодействие по НИр 
Требования к НТТР-запросам 
Требования к сессиям 


Логирование 


++ 
Отметь если есть аутентификация НЕ НЕИГоаа г 
2022 


Зесигику АгсИКесиге 


со м # Мургену зегусе 
р 


: р р» 
в | Дата релиза Етриу 
я 

б Я в У) Команда Етриу 1 


у) Этап разработки ЕтрАу 


«кк 


Нае дезсир оп Я Тргеа{ Аззезт... Етруу 
< — = 
©, Таблица требований! — С "зе тр 
При описании нового сервиса, надо 25 Автор Етр\у 


внизу таблицы нажать + Мем , вписать 

название сервиса, этап разработки, АЯ а ргорему 
ответственную команду и дату релиза 

(фактическую или плановую). Далее при 

наведении мышки на пункт нажать Ада а соттеги 
кнопку => ОРЕМ . Внутри страницы надо 3 

выбрать [ТЕМРЕАТЕ] {5егу1сепате} и 

читать шапку "Ном/-{о". 


> Как пользоваться (Ном/-ю) 


ды АКег Зое С == > Критерии, когда 100% надо обсуждать реализацию с 
Название сервиса >) Этап разра <5есищу>: 
Е Общее требования ко всем новым сервисам 


Мем 


Хранение кода и работа с репозиторием 


1 


соимт 1 


Сериализация \ ХМЕ 
Авторизация 


Взаимодействие по ПИр 


57 


Зесигику АгсИКесиге 58 


Отметь если есть аутентификация 
Базовые требования 


% 

1 С] При реализации механизмов аутентификации убедись что ты 
/ не строишь свой велосипед, когда есть уже готовый 
! 


' и " 
‚ Г] Любые внутренние “ручки” (эндпоинты) приложения должны 


! 
проверять наличие сессии и права на выполнение данного 


у 
действия у пользователя. 
Аутентификация с помощью паролей 


[С] Не используй аутентификацию по паролям не обсудим это с 
<Зесищу> 


[С] Для хеширования паролей используется алгоритм Бсгур{ 


[С] Обдумай сценарий инвалидации сессий при смене пароля 
или предложи альетрнативы 


С] Ссылка для сброса пароля с токеном, должно жить не более 
24ч. 


Общие требования по аутентифкации пользователей 


Общие требования по аутентификации через ОТР 


Секреты, токены 
Хранение 
Валидация 


НЕ) НЕНГоа4"" 


Отметь если используются файлы 


Зесигку Спески${ 


(но) НЕНЕоаа"* 


ЗесигКу Спески${ 


Что дает? 


® Учет регрессов 
по архитектуре 


® Чек-лист для проверки 
реализации 


Связь с Конвеем 


60 


Делаем архитектурный комитет 


комфортным для ИТ 


(но) НЕНЕоаа"" 


61 


Тгаттод Чау$ 


(но) НЕНЕоаа"" 


Тгатто ОВау$ 62 


ДЕНЬ\неделя 


(но) НЕНЕоаа"" 


Тгатто ОВауз$ 


Состав 


® Гренировка ВиеТеат 
® Аудит сервиса 
® Шаринг экспертизы 


63 


бе 


Тгаттоа Оау$ 
Что дает? 


® Гренировка ВшеТеат 
® Шаринг экспертизы 


® Выход за пределы 
повседневных задач 


64 
Как измерить? 


® Найден хотя бы один инсайт 
® Экспертиза пошарена на М человек 
® Выявлены новые уязвимости 


® Положительный фидбэк 


(но) ННЕоаа"" 


Тгаттоа Оау$ 65 


Что дает? Как измерить? 
® Гренировка ВмеТеат ® Найден хотя бы один инсайт 
® Шаринг экспертизы ® Экспертиза пошарена на М человек 
® Выход за пределы ® Выявлены новые уязвимости 
ПО ® Положительный фидбэк 
Решение проблемы межкомандного 
Связь С Конвеем взаимодействия 


(но) НЕНЕоаа"" 


Вопросы? 


® Проекция закона Конвея на ИБ 
® Субег $Угаеду 

® ЗесигЦу еггог Биаде{ 

® Зесищу амбассадоры 

® Гпгеа{ Аззеззтепе 

® Зесищу АгсПКесиге 

® Ггаштпа ОШауз$ 


66 


{.те/е4дезес 
е4дезесс 


ргое_рНПофо.рпе шаг\е {есй.рпв 


(но) ННЕоаа"" 


/Обратная/связь 
(и комментарии по. 
докладу по’ссылке 


| 


/Й (нь) ННГоаа"* 


7 ] 


